Dostawcy8 min czytania

Dostawca wysokiego ryzyka — procedura KSC

Procedura uznania

Art. 67b znowelizowanej ustawy o KSC wprowadza instytucję dostawcy wysokiego ryzyka. Postępowanie wszczyna minister właściwy ds. informatyzacji z urzędu albo na wniosek przewodniczącego Kolegium ds. Cyberbezpieczeństwa (art. 67b ust. 1 KSC). Przed wydaniem decyzji minister zasięga opinii Kolegium (art. 67b ust. 10), a samą decyzję o uznaniu dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka wydaje na podstawie art. 67b ust. 15. Decyzja ta podlega natychmiastowemu wykonaniu (ust. 18) i ogłoszeniu w Monitorze Polskim (ust. 17); skarga do sądu administracyjnego rozpoznawana jest na posiedzeniu niejawnym w składzie 3 sędziów (art. 67e ust. 1 KSC).

Postępowanie wszczyna minister z urzędu lub na wniosek przewodniczącego Kolegium (art. 67b ust. 1 KSC). Stroną postępowania jest podmiot, wobec którego toczy się postępowanie (art. 67b ust. 3). Do udziału może przystąpić również przedsiębiorca komunikacji elektronicznej, którego roczne przychody z działalności telekomunikacyjnej w poprzednim roku obrotowym przekroczyły 10 mln zł (art. 67b ust. 4). Organizacja społeczna może zgłosić udział w postępowaniu w ciągu 14 dni od dnia zawiadomienia (art. 67b ust. 9). Strona ma prawo przedstawić stanowisko przed wydaniem decyzji.

Kryteria oceny

Przy ocenie, czy dostawca stanowi wysokie ryzyko, minister bierze pod uwagę szereg czynników związanych zarówno z samym dostawcą, jak i z państwem trzecim, z którego dostawca pochodzi. Ocena ma charakter kompleksowy i uwzględnia aspekty techniczne, prawne oraz geopolityczne.

  • Zagrożenia dla bezpieczeństwa narodowego wynikające ze stosowania produktów dostawcy
  • Prawdopodobieństwo wpływu państwa trzeciego na dostawcę (np. obowiązek współpracy z wywiadem)
  • Struktura własnościowa dostawcy i powiązania z rządem państwa trzeciego
  • Zdolność państwa trzeciego do ingerencji w łańcuch dostaw dostawcy
  • Historia znanych podatności i incydentów w produktach dostawcy
  • Posiadane certyfikaty bezpieczeństwa i wyniki audytów
  • Dotychczasowa współpraca dostawcy z organami cyberbezpieczeństwa UE

Obowiązki po wydaniu decyzji

Po wydaniu decyzji o uznaniu dostawcy za dostawcę wysokiego ryzyka podmioty kluczowe i ważne mają obowiązek podjęcia działań ograniczających zależność od produktów tego dostawcy w ramach bezpieczeństwa łańcucha dostaw. Zakres obowiązków zależy od tego, czy produkty są wykorzystywane w funkcjach krytycznych dla bezpieczeństwa sieci i systemów informacyjnych.

ObowiązekTerminDotyczy
Zakaz wprowadzania nowych produktów dostawcyOd dnia wydania decyzjiPodmioty kluczowe i ważne z wyłączeniem podsektora komunikacji elektronicznej (art. 67b ust. 1 pkt 1)
Wycofanie produktów dostawcy — sprawdź terminy wdrożenia KSC7 lat od dnia ogłoszenia decyzji w Monitorze Polskim (art. 67c ust. 1 pkt 2)Podmioty kluczowe i ważne z wyłączeniem podsektora komunikacji elektronicznej (art. 67b ust. 1 pkt 1)
Wycofanie z funkcji krytycznych (zał. 3)4 lata od dnia ogłoszenia decyzji w Monitorze Polskim (art. 67c ust. 2)Przedsiębiorcy komunikacji elektronicznej z rocznym przychodem z tej działalności > 10 mln zł (art. 67b ust. 1 pkt 2)
Niewykonanie obowiązków wynikających z decyzji o dostawcy wysokiego ryzyka podlega karze pieniężnej na zasadach ogólnych ustawy — do 10 mln EUR dla podmiotów kluczowych i do 7 mln EUR dla podmiotów ważnych.

Jak się przygotować

Nawet jeśli obecnie żaden dostawca nie został uznany za dostawcę wysokiego ryzyka, organizacje powinny zawczasu przygotować się na taką ewentualność. Kluczowe jest zapewnienie niezależności systemów informacyjnych i unikanie uzależnienia od jednego dostawcy w obszarach krytycznych dla cyberbezpieczeństwa.

  1. Przeprowadź inwentaryzację dostawców sprzętu i oprogramowania w obszarach krytycznych.
  2. Zidentyfikuj zależności od dostawców z państw trzecich spoza UE/NATO.
  3. Opracuj plany migracji dla produktów dostawców o podwyższonym ryzyku.
  4. Uwzględnij klauzule dotyczące dostawcy wysokiego ryzyka w nowych umowach.
  5. Monitoruj komunikaty Ministerstwa Cyfryzacji dotyczące postępowań w sprawie dostawców.
FAQ4 pytania

Najczęstsze pytania

Kto to dostawca wysokiego ryzyka (HRV) w KSC?
To dostawca produktów, usług lub procesów ICT uznany w drodze decyzji ministra właściwego ds. informatyzacji za stanowiący wysokie ryzyko dla cyberbezpieczeństwa (art. 67a-67c KSC). Decyzja wydawana jest po ocenie technicznej i nietechnicznej, z uwzględnieniem m.in. pochodzenia, zależności od państwa trzeciego, jakości zarządzania podatnościami.
Jaki jest termin wymiany dostawcy HRV?
Różnicowany: (1) 4 lata na wycofanie sprzętu realizującego krytyczne funkcje sieciowe (m.in. elementy 5G/3GPP: AMF, AUSF, UPF) — art. 67c ust. 2 KSC; (2) 7 lat na wycofanie pozostałego sprzętu i oprogramowania ICT od dostawcy HRV — art. 67c ust. 1 pkt 2 KSC. Terminy biegną od dnia ogłoszenia decyzji uznającej dostawcę za HRV w Monitorze Polskim.
Czy decyzja HRV dotyczy głównie 5G?
Głównie tak — krytyczne funkcje sieci 5G zgodnie ze specyfikacją 3GPP (m.in. AMF, AUSF, UPF, UDM, SMF) są najczęstszym przedmiotem oceny. Decyzja HRV może jednak objąć każdy rodzaj produktu/usługi ICT, jeśli stwarza ryzyko systemowe. Procedura i kryteria oceny są jednolite niezależnie od typu technologii.
Czy telekomy mają wyjątek od obowiązku wymiany HRV?
Tak, w ograniczonym zakresie — podsektor komunikacji elektronicznej podlega szczególnym regulacjom (art. 67b ust. 1 pkt 1 KSC). Dla przedsiębiorców komunikacji elektronicznej stosuje się odrębny reżim oceny i wdrażania decyzji HRV, skoordynowany z Prawem komunikacji elektronicznej i UKE jako organem właściwym sektora.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.